Үүлэн тооцооллыг өргөнөөр нэвтрүүлэх нь компаниудад бизнесээ өргөжүүлэхэд тусалдаг. Гэхдээ шинэ платформ ашиглах нь шинэ аюул заналхийлж байна гэсэн үг юм. Үүлэн үйлчилгээний аюулгүй байдлыг хянах үүрэгтэй байгууллагад өөрийн багийг ажиллуулах нь тийм ч амар ажил биш юм. Одоо байгаа хяналтын хэрэгслүүд нь үнэтэй бөгөөд удаан байдаг. Том хэмжээний үүлэн дэд бүтцийг баталгаажуулах үед тэдгээрийг удирдахад тодорхой хэмжээгээр хэцүү байдаг. Үүлэн аюулгүй байдлаа өндөр түвшинд байлгахын тулд компаниудад өмнө нь байсан зүйлээс давсан хүчирхэг, уян хатан, ойлгомжтой хэрэгслүүд хэрэгтэй. Энд нээлттэй эхийн технологи нь аюулгүй байдлын төсвийг хэмнэхэд тусалдаг бөгөөд тэдний бизнесийн талаар сайн мэддэг мэргэжилтнүүд бий болгодог.
Өнөөдөр бидний орчуулж буй нийтлэл нь үүлэн системийн аюулгүй байдлыг хянах 7 нээлттэй эхийн хэрэгслийн тоймыг өгдөг. Эдгээр хэрэгслүүд нь гажиг, аюултай үйл ажиллагааг илрүүлэх замаар хакерууд болон кибер гэмт хэрэгтнүүдээс хамгаалах зорилготой юм.
1. Өгүүллэг
Osquery хүрээг Facebook-ээс бүтээсэн. Үйлдлийн системийн доод түвшний механизмыг хянах хэрэгсэл нь зөвхөн өөрөө биш гэдгийг компани ойлгосны дараа 2014 онд түүний кодыг нээлттэй эх сурвалжтай болгосон. Түүнээс хойш Osquery-г Dactiv, Google, Kolide, Trail of Bits, Uptycs болон бусад олон компанийн мэргэжилтнүүд ашиглаж ирсэн. Саяхан байсан
Osquery-ийн osqueryd гэж нэрлэгддэг хост мониторингийн демон нь танай байгууллагын дэд бүтцээс мэдээлэл цуглуулдаг асуулга төлөвлөх боломжийг танд олгоно. Демон нь асуулгын үр дүнг цуглуулж, дэд бүтцийн төлөв байдалд гарсан өөрчлөлтийг тусгасан бүртгэлүүдийг үүсгэдэг. Энэ нь аюулгүй байдлын мэргэжилтнүүдэд системийн төлөв байдлын талаар мэдээлэл өгөхөд тусалж болох бөгөөд гажиг илрүүлэхэд онцгой ач холбогдолтой юм. Osquery-ийн бүртгэлийг нэгтгэх чадварыг танд мэдэгдэж байгаа болон үл мэдэгдэх хортой программыг олох, түүнчлэн халдагчид таны системд хаанаас нэвтэрч, ямар програм суулгасныг олоход ашиглаж болно.
2. GoAudit
систем
GoAudit системийг Голанг хэл дээр бичсэн. Энэ нь төрөлд аюулгүй, өндөр гүйцэтгэлтэй хэл юм. GoAudit-г суулгахаасаа өмнө Golang-ийн хувилбар 1.7-с дээш байгаа эсэхийг шалгаарай.
3. Grapl
Төсөл
Grapl хэрэгсэл нь аюулгүй байдалтай холбоотой логуудыг (Sysmon бүртгэлүүд эсвэл ердийн JSON форматын бүртгэлүүд) авч, тэдгээрийг дэд график болгон хувиргадаг (зангилаа тус бүрийн "их таних тэмдэг"-ийг тодорхойлдог). Үүний дараа энэ нь дэд графикуудыг нэгтгэсэн нийтлэг график (Мастер График) бөгөөд энэ нь дүн шинжилгээ хийсэн орчинд гүйцэтгэсэн үйлдлүүдийг илэрхийлдэг. Grapl дараа нь гажиг болон сэжигтэй хэв маягийг тодорхойлохын тулд "халдагчийн гарын үсэг" ашиглан үүссэн график дээр анализаторуудыг ажиллуулдаг. Анализатор сэжигтэй дэд хэсгийг илрүүлэх үед Grapl нь мөрдөн байцаалтад зориулагдсан Engagement бүтцийг үүсгэдэг. Engagement нь AWS орчинд байрлуулсан Jupyter Notebook-д ачаалах боломжтой Python анги юм. Грапл нь график өргөжүүлэх замаар ослын мөрдөн байцаалтад зориулж мэдээлэл цуглуулах цар хүрээг нэмэгдүүлэх боломжтой.
Хэрэв та Grapl-ийг илүү сайн ойлгохыг хүсч байвал үзэж болно
4. OSSEC
OSSEC нь Хост суурилсан халдлагыг илрүүлэх системийн (HIDS) чадавхийг Аюулгүй байдлын ослын менежмент (SIM) болон аюулгүй байдлын мэдээлэл ба үйл явдлын менежмент (SIEM) системтэй хослуулсан. . OSSEC нь файлын бүрэн бүтэн байдлыг бодит цаг хугацаанд хянах боломжтой. Жишээлбэл, энэ нь Windows бүртгэлийг хянаж, rootkit-ийг илрүүлдэг. OSSEC нь илэрсэн асуудлын талаар оролцогч талуудад бодит цаг хугацаанд мэдэгдэх боломжтой бөгөөд илэрсэн аюулд хурдан хариу өгөхөд тусалдаг. Энэхүү платформ нь Microsoft Windows болон Linux, FreeBSD, OpenBSD, Solaris зэрэг орчин үеийн Unix-тэй төстэй системүүдийг дэмждэг.
OSSEC платформ нь агентуудаас мэдээлэл хүлээн авах, хянахад ашигладаг төв хяналтын байгууллага болох менежерээс бүрдэнэ (хяналт хийх шаардлагатай системд суулгасан жижиг програмууд). Менежер нь файлуудын бүрэн бүтэн байдлыг шалгахад ашигладаг мэдээллийн санг хадгалдаг Линукс систем дээр суурилагдсан. Мөн үйл явдлын бүртгэл, бүртгэл, системийн аудитын үр дүнг хадгалдаг.
OSSEC төслийг одоогоор Atomicorp дэмжиж байна. Тус компани нь үнэгүй нээлттэй эхийн хувилбарыг хянадаг бөгөөд үүнээс гадна санал болгодог
5. Миркат
Энэ бүтээгдэхүүн 2009 онд гарч ирсэн. Түүний ажил дүрэм журамд суурилдаг. Өөрөөр хэлбэл, үүнийг ашигладаг хүн сүлжээний траффикийн тодорхой шинж чанаруудыг тайлбарлах боломжтой болно. Хэрэв дүрэм идэвхжсэн бол Суриката мэдэгдэл гаргаж, сэжигтэй холболтыг хаах эсвэл цуцлах бөгөөд энэ нь дахин заасан дүрмээс хамаарна. Төсөл нь олон урсгалтай ажиллагааг дэмждэг. Энэ нь их хэмжээний траффик дамжуулдаг сүлжээнд олон тооны дүрмийг хурдан боловсруулах боломжтой болгодог. Олон урсгалын дэмжлэгийн ачаар энгийн сервер нь 10 Гбит/с хурдтай явж буй траффикийг амжилттай шинжлэх боломжтой. Энэ тохиолдолд администратор замын хөдөлгөөний шинжилгээнд ашигладаг дүрмийн багцыг хязгаарлах шаардлагагүй. Suricata нь мөн хэш хийх, файл хайхыг дэмждэг.
Suricata-г бүтээгдэхүүнд саяхан нэвтрүүлсэн функцийг ашиглан ердийн серверүүд эсвэл AWS зэрэг виртуал машинууд дээр ажиллуулахаар тохируулж болно.
Энэхүү төсөл нь Луа скриптүүдийг дэмждэг бөгөөд үүнийг аюулын гарын үсгийг шинжлэхэд нарийн төвөгтэй, нарийвчилсан логикийг бий болгоход ашиглаж болно.
Суриката төслийг Нээлттэй мэдээллийн аюулгүй байдлын сан (OISF) удирддаг.
6. Zeek (Ах)
Суиката шиг,
Хэрэв бид Zeek-ийг сүлжээний аюулгүй байдлын хэрэгсэл гэж үзвэл энэ нь тухайн мэргэжилтэнд ослын өмнө болон үеэр юу тохиолдсон талаар олж мэдэх замаар үйл явдлыг судлах боломжийг олгодог гэж хэлж болно. Zeek нь сүлжээний хөдөлгөөний өгөгдлийг өндөр түвшний үйл явдал болгон хувиргаж, скрипт орчуулагчтай ажиллах боломжийг олгодог. Орчуулагч нь үйл явдлуудтай харилцах, сүлжээний аюулгүй байдлын хувьд тэдгээр үйл явдлууд яг юу гэсэн үг болохыг олж мэдэхэд ашигладаг програмчлалын хэлийг дэмждэг. Zeek програмчлалын хэл нь тухайн байгууллагын хэрэгцээнд нийцүүлэн мета өгөгдлийг хэрхэн тайлбарлахыг өөрчлөхөд ашиглаж болно. Энэ нь AND, OR, NOT операторуудыг ашиглан нарийн төвөгтэй логик нөхцөлийг бий болгох боломжийг танд олгоно. Энэ нь хэрэглэгчдэд орчиндоо хэрхэн дүн шинжилгээ хийхийг өөрчлөх боломжийг олгодог. Гэсэн хэдий ч Suricata-тай харьцуулахад Zeek нь аюулгүй байдалд заналхийлсэн хайгуул хийхэд нэлээд төвөгтэй хэрэгсэл мэт санагдаж болохыг тэмдэглэх нь зүйтэй.
Хэрэв та Zeek-ийн талаар илүү дэлгэрэнгүй мэдээлэл авахыг хүсвэл холбоо барина уу
7. Пантер
Пантерийн гол шинж чанаруудын дунд дараахь зүйлс орно.
- Бүртгэлд дүн шинжилгээ хийх замаар нөөцөд зөвшөөрөлгүй хандсаныг илрүүлэх.
- Аюулгүй байдлын асуудлыг илтгэх үзүүлэлтүүдийг бүртгэлээс хайх замаар хэрэгжүүлсэн аюулыг илрүүлэх. Хайлтыг Panter-ийн стандартчилсан мэдээллийн талбаруудыг ашиглан хийдэг.
- Системийг SOC/PCI/HIPAA стандартад нийцэж байгаа эсэхийг шалгаж байна
суурилуулсан Пантер механизмууд. - Халдагчид ашигласан тохиолдолд ноцтой асуудал үүсгэж болзошгүй тохиргооны алдааг автоматаар засч, үүлэн нөөцөө хамгаалаарай.
Panther нь AWS CloudFormation ашиглан байгууллагын AWS үүлэн дээр байрлуулсан. Энэ нь хэрэглэгч өөрийн өгөгдлийг үргэлж хянах боломжийг олгодог.
Үр дүн
Системийн аюулгүй байдлыг хянах нь өнөө үед маш чухал ажил юм. Энэ асуудлыг шийдвэрлэхэд ямар ч хэмжээний компаниудад маш их боломж олгодог, бараг үнэ төлбөргүй эсвэл үнэ төлбөргүй байдаг нээлттэй эхийн хэрэгслүүд тусалж чадна.
Эрхэм уншигчид! Та аюулгүй байдлын хяналтын ямар хэрэгслийг ашигладаг вэ?
Эх сурвалж: www.habr.com